Re: [EDUC] étudiants-Google worspace

[vidal gerard <gerard.f.vidal AT laposte.net>]

Merci François de ces précisions juridiques qui ont  effectivement relancé et fait avancer le débat sur cet axe intéressant et nécessaire.

Toutefois à mon avis nous prenons une pente  façonnée par les GAFAM (via leurs ultra puissants services juridiques et lobbies gouvernementaux) qui nous éloigne des préoccupations réelles d'origine de ce fil de discussion. Dire que "c'est légal" ne change rien au fait que les pratiques déviantes (y compris quand on installe un intermédiaire pour qu'en cas de découverte on dispose d'un fusible)

• sont possibles,
  
• présentent un intérêt économique pour leurs auteurs,
  
• sont indétectables directement dans un cadre légal contractuel (aucune clause ou méthode de vérification par un tiers des activités réalisées)

la sagesse populaire qui dit qu'il n'y a pas de fumée sans feu devrait nous inciter au moins à un peu de prudence  quand  sur des champs différents  mettant en cause des sociétés différentes mais qui partagent toutes la même stratégie vis à vis des données et du public:

• le Référentiel général  d'interopérabilité de l'état qui émet des réserves sur la suite office
• la CNIL qui s'exprime à plusieurs reprises contre l'utilisation de zoom et teams
• la DINUM (structure interministérielle) note DINUM-DIR-210901 du 15/09/2021 qui écrit "Les solutions collaboratives, bureautiques et de messagerie proposées aux agents publics relèvent des systèmes manipulant des données sensibles. Ainsi, la migration de ces solutions vers l’offre Office 365 de Microsoft n’est pas conforme à la doctrine Cloud au Centre. A titre transitoire, pour les éventuels
  projets très avancés au 5 juillet 2021, une dérogation pourra être accordée sous la responsabilité de votre ministre. Cette dérogation
  se limiterait aux seuls services de messagerie et de drive personnel, « pour une durée limitée à 12 mois
  après la date à laquelle une offre de cloud acceptable sera disponible en France ». En revanche elle ne
  peut concerner les services documentaires, collaboratifs, de messagerie instantanée,
  d’audioconférence, de visioconférence et de webinaire, qui sont couverts par l’offre interministérielle
  SNAP, déjà conforme à Cloud au Centre ou en passe de le devenir très prochainement."
  

Personne ici je crois, ne met en doute le travail des services juridiques du ministère, des régions, des rectorats ou de toute autre institution publique et la plupart d'entre nous ont spontanément confiance dans la légalité de ce qui est fait. Nous apprécions tous les efforts faits par la centrale pour faire connaître les ressources logicielles, humaines, techniques, scientifiques et culturelles du monde libre dans le domaine de l'éducation.

Mais il reste tout de même un sentiment de fond d' "un peu de libre mais pas trop", associé au fait que certains acteurs de la EdTech se comportent comme des commis  de GAFAM  et servent juste à masquer "légalement"  l'emprise  qu'ont ces derniers sur le système éducatif. Par ailleurs ce n'est pas parce que c'est légal à l'instant t que c'est juste, équitable et sans danger pour le citoyen jeune ou vieux. Les lois et les réglements vont moins vite que la technologie  et la seule façon de lutter contre les agressions est d'empêcher ceux qui les commettent d'avoir une position ultra-dominante ou monopolistique sur le système éducatif. Pourquoi n'exige-t-on pas dans les contrats avec les GAFAM d'avoir à leur frais un tiers de confiance extérieur qui vérifie qu'ils respectent leurs engagements (voir argument du RGI), on n'a pas de Snowden ou d'Asselange au coin de chaque cour de récréation pour dénoncer ce qui pourrait se passer de non conforme.

Il est possible que la note  interministérielle de la DINUM  soit un des prémices de grandes manœuvres  numériques  pour des raisons pas seulement éthiques, ce serait dommage que l'éduc, en se réfugiant derrière le juridique, soit le plus mauvais élève juste parce qu'elle est très contaminée et présente une intrinsèquement une forte résistance au changement.

Librement et avec un peu de provoc...

G.

Le 21/09/2021 à 11:46, FRANCOIS BOCQUET a écrit :

Bonjour,

Voici quelques informations qui semblent nous manquer pour continuer à réfléchir et à agir.

Tous les éditeurs de services bureautique grand public (Microsoft Office 365 ou Google Workspace) proposent des versions professionnelles de leurs services (même Amazon ou Facebook Workplace).

Dans le premier cas les services grand public repose sur un modèle économique qui utilise les données pour se rémunérer (principalement pour du profilage publicitaire). C'est donc "gratuité" contre données utilisables avec le consentement explicite de l'utilisateur (et c'est donc légal et conforme au RGPD même si toujours à la limite pour réaliser les profits maximum et donc avec des sanctions régulières quand les limites sont dépassées). Vis à vis du RGPD les éditeurs sont responsables de traitement vis à vis des utilisateurs. C'est donc ce qui est mis en œuvre quand des adresse de type @gmail.com sont utilisée ou encore quand Facebook ou Twitter est utilisé. Il n'y a pas de console d'administration pour l'institution et le contrat est passé directement entre l'éditeur et l'utilisateur final (ici un étudiant). D'autres services "loyaux" c'est à dire gratuits sans profilage (financés par des dons par exemple) sont également dans la même situation juridique (par exemple les services de Proton, de Framasoft et de tous les chatons).
Ce modèle NE DOIT pas être utilisé dans l'éducation car il n'est pas légal (non conformité avec le RGPD sur la question de la responsabilité de traitement et du cadre contractuel).

Dans le second cas, les éditeurs sont sous-traitants d'institutions. Les contrats sont passés non plus avec les utilisateurs finaux mais entre l'éditeur et l'institution. A ces contrats sont ajoutés les éléments rendus obligatoires par le RGPD c'est à dire le contrat de sous traitance (ou Data processing amendment) et l'éventuel cadre contractuel pour les exports de données hors UE (clauses de contrat type ou mesures adéquates). Il y a toujours une console d'administration et de provisionnement des comptes à disposition des administrateurs. Il n'y a jamais réutilisation des données à d'autres fins que la fourniture du service encadrée par le contrat passé par l'institution avec l'éditeur. C'est précisé dans le contrat lui-même et dans le DPA spécifique au RGPD en Europe.

Donc il faut bien veiller dans les raisonnements à différencier les deux modèles et à bien les comprendre au moins sur le plan juridique.

Enfin les critères de licéité des traitements définis par l'article 6 du RGPD ne sont pas du tout les mêmes dans les deux cas présentés ci dessus.
https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
Dans le premier cas il y a traitement dans le cadre de l'execution d'un contrat direct avec l'éditeur et par consentement de l'utilisateur à la réutilisation de ses données
Dans le second cas il y a traitement pour l'exercice d'une mission de service public par un responsable d'une institution de formation avec un sous traitant (l'éditeur).

Concernant Google Workspace pour éducation, c'est effectivement utilisé de façon massive dans tous les pays européens dans les établissements publics du primaire au Sup mais c'est peu développé en France. C'est même institutionnalisé dans plusieurs états (Ecosse, Autriche, Italie, ...) avec les deux ecosytèmes et en utilisant un annuaire et un SSO souverain (de type EduConnect).
Microsoft est parvenu en France à remporter presque toutes les universités et commence à travailler avec les régions pour les lycées (Grand Est et Haut de France mais aussi Ile de France, PACA et même Normandie)

A la question : est ce fait pour les établissements scolaires ? la réponse est sans doute oui ( d'autant que l'écosystème ChromeOS (basé sur un Linux) a pris des parts de marché considérables dans le domaine de l'éducation... En 2020 d'après un article sur Wikipedia il y avait 120 millions d'utilisateurs de Google Workspace pour éducation (dont 6 millions avec des contrats payant comme ceux des entreprises) https://en.wikipedia.org/wiki/Google_Workspace

A la question : y a t'il du traçage et de l'exploitation des données des élèves à des fins marketing ? la réponse semble être non depuis 2012 ne serait-ce que par la loi FERPA qui protège les données scolaires des élèves aux USA depuis 1974 et qui est appliquée avec beaucoup de rigueur même s'il n'y a aucun procès gagné par des plaignants au sujet de la réutilisation des données par cet éditeur. Le cadre contractuel semble carré même vis à vis du RGPD et se trouve mis à l'épreuve régulièrement.

A disposition pour répondre aux questions si nécessaire.
 
o-------------------------------------------------------------------o
  François BOCQUET 
  Tél. : +33 155 557 781 ou +33 6 35 48 21 13
  Mèl. : francois.bocquet AT education.gouv.fr 
  Portfolio : http://fr.linkedin.com/in/fbocquet/

Le 20/09/2021 21:15, « educ-request AT april.org au nom de Jean-Luc GENÊT » <educ-request AT april.org au nom de jean-luc AT brege.net> a écrit :

    Bonsoir,
    mes deux enfants reprennent cette semaine le chemin de leur école d'art.
    Il y a deux ans un espace Riot avait été créé pour les étudiants et j'en 
    ai été ravi, visios jitsi, etc.
    L'an dernier ... zoom pour toutes les visios, aucun n'a protesté et je 
    ne m'en suis pas mêlé.
    Cette année, google workspace ! Mon fils est mineur mais se retrouve 
    avec des jeunes de 19 à 25 ans, j'hésite à intervenir.
    
    Ce produit n'est il pas plutôt adapté à l'entreprise ?
    La personne qui l'a mise en place a certifié aux "première année" qu'il 
    ne seraient pas traqués, m'a dit mon fils.
    Je n'y crois pas mais cela reste tout a fait subjectif, je n'en ai pas 
    les arguments, sauf à dire que c'est G et que son modèle économique, 
    c'est les données...
    
    Je suis déboussolé par ces outils qui prennent une place que je ne 
    désire pas dans la vie de mes enfants.
    Je pense allez rencontrer le directeur de l'école qui prône également 
    une vie tournée vers l'écologie et qui me semble qqu'un d'ouvert. Des 
    projets d'étudiants se tournent vers le développement durable d'ailleurs.
    Bon excusez mes longueurs,
    Librement
    Jean-Luc
    

      
      
--
Pour vous désinscrire de cette liste : https://listes.april.org/wws/sigrequest/educ

Pour connaître la configuration de la liste, gérer votre abonnement à la liste educ et vos informations personnelles :
https://listes.april.org/wws/info/educ